Română English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_ro/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Zilele săptămânii 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Ce este Legea Chineză a Securității Cibernetice? Explicarea punctelor cheie pentru conformitate

Ce este Legea Chineză a Securității Cibernetice? Explicarea punctelor cheie pentru conformitate

General Corporate

Ce este Legea Chineză a Securității Cibernetice? Explicarea punctelor cheie pentru conformitate

Conform raportului special al “Teikoku Databank: Tendințele de expansiune a companiilor japoneze în China (2022)”[ja] al 帝国データバンク (Teikoku Databank), numărul companiilor japoneze care s-au extins în China a ajuns la 12,706. Este de așteptat ca numărul companiilor care desfășoară afaceri legate de China să fie chiar mai mare. În China, în anul 2017, a fost implementată “Legea Chineză de Securitate Cibernetică” (Chinese Cybersecurity Law).

Ca urmare, pentru a desfășura afaceri în China, companiile trebuie să revizuiască reglementările conform legii și să implementeze măsuri tehnice de protecție. Totuși, există persoane care nu cunosc detaliile acestei legi sau care nu știu cum să se conformeze.

Prin urmare, în acest articol vom explica pe scurt “Legea Chineză de Securitate Cibernetică”, obiectivele reglementării și măsurile de protecție pe care ar trebui să le luați. Dacă desfășurați sau intenționați să vă extindeți afacerile în China, vă recomandăm să consultați aceste informații.

Prezentarea generală a Legii Cibernetice de Securitate a Chinei

Femeie care ghidează

Legea Cibernetice de Securitate a Chinei (网络安全法) este o lege chineză care a intrat în vigoare în iunie 2017. Scopul legii este descris în articolul 1 astfel:

  • Asigurarea securității rețelei
  • Protejarea suveranității ciberspațiului, securității naționale și intereselor publice
  • Protecția drepturilor și intereselor legitime ale cetățenilor, corporațiilor și altor organizații
  • Promovarea dezvoltării informatizării economiei și societății

Prin rețea se înțelege “un sistem format din computere, alte dispozitive de informare și echipamente asociate care colectează, stochează, transmit, schimbă și procesează informații conform unor reguli și programe specifice (articolul 76)”, care include nu doar internetul, ci și intranetul.

Legea Cibernetice de Securitate a Chinei se deosebește de Regulamentul General privind Protecția Datelor (GDPR) al UE și de Legea Japoneză privind Protecția Informațiilor Personale, nu doar prin protejarea informațiilor personale și organizaționale, ci și prin faptul că își propune să protejeze securitatea națională și interesele publice ale Chinei. Legea stabilește implementarea protecției de securitate cibernetică de nivel, respectarea conformității și clarificarea drepturilor și obligațiilor pentru entitățile vizate.

Există și alte legi legate de securitate, cum ar fi Legea Securității Datelor din China.

Articolul asociat: Ce este Legea Securității Datelor din China? Explicăm măsurile pe care companiile japoneze ar trebui să le ia[ja]

Reglementările vizate de Legea Chineză a Securității Cibernetice

Reguli

Companiile japoneze devin subiectul Legii Chineze a Securității Cibernetice în următoarele cazuri:

  • Există manipularea informațiilor în interiorul Chinei
  • Transferul de informații din China către Japonia

Chiar dacă sediul se află în Japonia, compania devine subiectul legii dacă se încadrează în cazurile menționate mai sus. De asemenea, printre cei reglementați de lege se numără “operatorii de rețea” și “operatorii de infrastructuri critice de informații”.

Operatorii de rețea sunt cei care dețin sau administrează o rețea, sau care furnizează servicii de rețea.

Operatorii de infrastructuri critice de informații sunt cei care gestionează facilități în domenii care, în caz de daune, ar putea amenința securitatea națională, cum ar fi energie, transport, finanțe, servicii publice etc., și unde deteriorarea sau scurgerea de date ar putea afecta grav securitatea națională, viața cetățenilor sau interesul public.

Conținutul Legii Cibernetice de Securitate a Chinei

Fotografia unei femei

Legea Cibernetică de Securitate a Chinei stabilește următoarele obligații:

  • Stabilirea unui sistem de clasificare a securității cibernetice
  • Conformitatea cu standardele obligatorii naționale
  • Este necesară înregistrarea cu nume real
  • Obligații pentru operatorii infrastructurilor critice de informații
  • Construirea unui sistem de gestionare și răspuns

Aici vom explica detaliat fiecare dintre aceste aspecte.

Implementarea clasificării securității cibernetice

Conform articolului 21 al Legii Securității Cibernetice din China, este stabilit un “sistem de protecție pe niveluri” pe care operatorii de rețea trebuie să-l respecte, iar companiile și organizațiile care dețin rețele în China trebuie să obțină certificarea de protecție pe niveluri.

Sistemul de protecție pe niveluri este un sistem oficial de evaluare a managementului securității rețelelor. Domeniile vizate includ următoarele:

  • Infrastructura de rețea
  • IoT (Internetul Obiectelor)
  • Sisteme de control industrial
  • Site-uri de internet și centre de date de mari dimensiuni
  • Platforme de servicii publice

În cadrul sistemului de protecție pe niveluri, sistemele de informații sunt clasificate în cinci niveluri, în funcție de amploarea și gravitatea daunelor în cazul deteriorării acestora.

Gradul de daună suferită de obiect
Daune generaleDaune graveDaune foarte grave
Cetățeni și entități juridice etc.Nivelul 1Nivelul 2Nivelul 3
Ordinea socială și interesul publicNivelul 2Nivelul 3Nivelul 4
Securitatea naționalăNivelul 3Nivelul 4Nivelul 5

Definițiile fiecărui nivel sunt următoarele:

NivelDefiniție
Nivelul 1O rețea generală care, în caz de deteriorare, afectează drepturile și interesele legitime ale cetățenilor, entităților juridice și altor organizații, dar nu are impact asupra securității naționale, ordinii sociale sau interesului public.
Nivelul 2O rețea generală care, în caz de deteriorare, provoacă daune semnificative drepturilor și intereselor legitime ale cetățenilor, entităților juridice și altor organizații, sau aduce prejudicii ordinii sociale și interesului public, dar nu afectează securitatea națională.
Nivelul 3O rețea importantă care, în caz de deteriorare, cauzează daune extrem de grave drepturilor și intereselor legitime ale cetățenilor, entităților juridice și altor organizații, sau pune în pericol securitatea națională.
Nivelul 4O rețea deosebit de importantă care, în caz de deteriorare, afectează grav ordinea socială și interesul public, sau provoacă daune foarte importante securității naționale.
Nivelul 5O rețea extrem de importantă care, în caz de deteriorare, cauzează daune extrem de grave securității naționale.

Pentru fiecare clasificare, sunt stabilite standardele de securitate a informațiilor pe care trebuie să le respecte. De obicei, operatorii de rețea sunt supuși nivelului 2 sau mai sus, iar operatorii de infrastructuri critice de informații sunt supuși nivelului 3 sau mai sus.

Pentru a obține un nivel, operatorii trebuie să aplice autonom la autorități, dar în final este necesar să obțină consensul din partea Ministerului Securității Publice. De asemenea, sistemul de protecție pe niveluri prevede că pentru nivelul 2 sau mai sus este necesară evaluarea de către o agenție de evaluare. Este important de reținut că nerespectarea sistemului de protecție pe niveluri poate duce la aplicarea de amenzi.

Conformitatea cu Standardele Obligatorii ale Statului

Furnizorii de produse și servicii pe internet trebuie să se asigure că serviciile pe care le oferă sunt conforme cu standardele obligatorii ale statului (Articolul 22). Furnizorii nu trebuie să instaleze programe malware.

În plus, dacă descoperă defecte, vulnerabilități sau alte riscuri în produsele sau serviciile lor, trebuie să ia măsuri imediate, să informeze utilizatorii și să raporteze autorităților competente.

În septembrie 2021 (Reiwa 3), a fost implementat “Regulamentul privind gestionarea vulnerabilităților de securitate în produsele de internet (网络产品安全漏洞管理规定)” destinat operatorilor de rețea, așadar este necesar să se consulte și acest regulament și să se acționeze în consecință.

Este necesară înregistrarea cu numele real

Când furnizați servicii de conectare la rețea, proceduri de conectare pentru telefoane fixe și mobile, servicii de partajare a informațiilor sau servicii de mesagerie instant, este necesar să solicitați utilizatorilor să se înregistreze cu numele lor real. Dacă utilizatorii nu se înregistrează cu numele real, nu aveți voie să le oferiți serviciile.

În plus, operatorii de rețea au și obligația de a verifica dacă informațiile transmise de utilizatori nu încalcă legea.

Obligațiile operatorilor de infrastructuri critice de informații

Operatorii de infrastructuri critice de informații nu doar că trebuie să implementeze măsuri de securitate impuse operatorilor de rețele, dar trebuie să adopte și următoarele măsuri:

  • Efectuarea periodică a backup-urilor sistemelor și bazelor de date
  • Elaborarea unui plan de răspuns la incidente de securitate
  • Evaluarea anuală a securității
  • Localizarea datelor

Localizarea datelor: procesul de stocare și procesare a datelor în interiorul frontierelor țării în care au fost generate

Ordonanța de securitate pentru protecția infrastructurilor critice de informații, care a intrat în vigoare în septembrie 2021 (Reiwa 3), detaliază mai concret gestionarea, acreditarea și obligațiile operatorilor acestor infrastructuri, motiv pentru care este necesară și consultarea acesteia.

Construirea unui sistem de management și răspuns

Operatorii de rețea sunt solicitați să îndeplinească următoarele cerințe (Articolul 21):

  • Elaborarea unui sistem de management al securității și a procedurilor de operare
  • Desemnarea unui responsabil de securitate a rețelei
  • Crearea unui plan de răspuns pentru incidentele de securitate și implementarea măsurilor tehnice corespunzătoare
  • Implementarea tehnologiilor de monitorizare a rețelei și păstrarea înregistrărilor (pentru cel puțin 6 luni)
  • Clasificarea datelor și măsuri de protecție, cum ar fi backup-ul și criptarea datelor importante

Prevederi în cazul încălcării Legii Japoneze privind Securitatea Cibernetică

Atenționare

Dacă se încalcă cerințele de securitate impuse de sistemul de protecție pe grade, se vor emite ordine de corectare și avertismente. În cazul refuzului de a respecta aceste ordine sau dacă se pune în pericol securitatea rețelei, va trebui să se plătească o amendă cuprinsă între 10.000 și 100.000 de yuani. De asemenea, persoanele direct responsabile vor fi supuse unei amenzi între 5.000 și 50.000 de yuani.

De asemenea, se vor emite ordine de corectare și avertismente în cazul instalării de programe rău intenționate sau dacă nu se iau măsuri împotriva riscurilor precum defectele produselor sau serviciilor și vulnerabilitățile de securitate. Refuzul de a respecta aceste ordine va duce la aplicarea de amenzi.

Suma amenzii variază în funcție de natura încălcării, iar în anumite cazuri se poate ajunge la închiderea site-ului web, anularea licenței de operare sau suspendarea activității comerciale, motiv pentru care este necesară prudență. În trecut, au existat cazuri în care încălcările au dus la sancțiuni pecuniare și interdicția pe viață a responsabililor de a lucra în același domeniu, ceea ce subliniază importanța măsurilor de securitate cibernetică.

Măsuri de conformitate cu legea cibernetică pe care companiile japoneze trebuie să le ia

Bărbat care ghidează

Legea cibernetică din China este complexă, iar unii s-ar putea să nu știe de unde să înceapă. Aici vom explica măsurile pe care companiile japoneze ar trebui să le ia.

Stabilirea unui sistem de colaborare cu departamentele de sisteme informatice și cele legate de DX

Pentru a răspunde la Legea cibernetică din China, este necesar să se construiască procese operaționale și să se elaboreze sau să se adauge reglementări pentru gestionarea informațiilor personale. De asemenea, pentru a respecta sistemul de protecție pe grade, sunt indispensabile măsuri tehnice pentru sistemele proprii.

Nu este suficient ca departamentele juridice și administrative să răspundă individual, ci este necesar să se stabilească un sistem de colaborare cu departamentele de sisteme informatice și cele legate de DX.

Determinarea gradului de conformitate al fiecărui sistem deținut de companie

În primul rând, se face determinarea gradului sistemelor proprii. În funcție de acest grad, fiecare departament trebuie să acționeze conform cerințelor de securitate cibernetică. Departamentele juridice, administrative și de gestionare a riscurilor trebuie să revizuiască și să modifice reglementările și operațiunile pentru a se conforma legii, în timp ce departamentele de sisteme informatice și DX trebuie să răspundă din punct de vedere tehnic. Aici vom explica fiecare tip de răspuns în parte.

Departamentele juridice, administrative și de gestionare a riscurilor

Se compară elementele stabilite de grade cu starea actuală de gestionare și sistemul de securitate informatică al companiei, se adaugă reglementări și se revizuiește sistemul operațional. Apoi, se examinează cum să se răspundă și se efectuează necesarele ajustări și modificări ale sistemului.

Dacă gradul este de nivelul 2 sau mai mare, trebuie să se facă și notificări către autorități. Dacă compania este considerată operator de infrastructură critică de informații, se cere obținerea certificării de protecție de gradul 3 sau mai mare. De asemenea, trebuie să se răspundă la reglementările de localizare a datelor, să se ofere angajaților educație periodică și antrenamente tehnice în securitatea informațiilor și multe alte cerințe. Dacă există posibilitatea să fiți considerat operator de infrastructură critică de informații, este prudent să consultați un avocat și să stabiliți un plan de răspuns.

În ultimii ani, în China au fost implementate numeroase reglementări legate de securitate. Prin urmare, departamentele de gestionare a riscurilor trebuie să se adapteze la noile reglementări și să răspundă corespunzător riscurilor.

Departamentele de sisteme informatice și DX

Departamentele de sisteme informatice și cele legate de DX trebuie să implementeze măsuri de protecție a securității conform gradului stabilit. În primul rând, se organizează măsurile de protecție a securității sistemelor existente și, dacă este necesar, se integrează sisteme conforme cu Legea cibernetică.

Pe lângă Legea cibernetică, trebuie să se răspundă și la reglementările de localizare a datelor, restricțiile transfrontaliere și accesul guvernamental. Este necesar să se înțeleagă ce date sunt transferate în afara Chinei și să se revizuiască modul în care compania obține și stochează datele.

Legea cibernetică necesită nu doar revizuirea reglementărilor, ci și implementarea măsurilor tehnice de protecție, ceea ce face esențială colaborarea între departamentele responsabile.

Concluzie: În cazul în care întâmpinați dificultăți cu măsurile companiei dumneavoastră, consultați un specialist

Fotografie cu un bărbat și o femeie

Legea Chineză a Securității Cibernetice este un sistem creat pentru securitatea națională a Chinei. Pentru a respecta această lege, este necesar nu doar să revizuim regulamentele prin intermediul departamentelor juridice și administrative, dar și să implementăm măsuri tehnice de protecție.

De la intrarea în vigoare a Legii Securității Cibernetice, au fost adoptate numeroase legi legate de conformitatea datelor, cum ar fi “Regulamentul pentru gestionarea vulnerabilităților de securitate în produsele de internet” și “Metodele de examinare a securității cibernetice (sistemul care concretizează mecanismul de revizuire a securității naționale)”. Încălcarea acestor legi poate duce la sancțiuni administrative, cum ar fi amenzi, închiderea site-urilor web sau anularea licenței de operare, așadar este necesară prudență. Dacă desfășurați sau intenționați să desfășurați afaceri în China, vă recomandăm să consultați un avocat familiarizat cu legislația chineză.

Ghidul măsurilor implementate de către firma noastră

Firma de avocatură Monolith este specializată în IT, internet și afaceri comerciale. Am gestionat cazuri din diferite părți ale lumii, inclusiv China, Statele Unite și țările Uniunii Europene. Când desfășurați afaceri în străinătate, există multe riscuri legale care trebuie luate în considerare, astfel încât suportul unui avocat cu experiență este esențial. Firma noastră are o cunoaștere aprofundată a legilor și reglementărilor locale și colaborează cu firme de avocatură din întreaga lume.

Domeniile de expertiză ale firmei de avocatură Monolith: Afaceri internaționale și operațiuni peste hotare[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Ce înseamnă riscul de încălcare a drepturilor de proprietate intelectuală, cum ar fi brevetele, mărcile comerciale, drepturile de autor și măsurile sale de prevenire

Ce înseamnă riscul de încălcare a drepturilor de proprietate intelectuală, cum ar fi brevetele, .

General Corporate

Puncte de verificare în crearea unui contract de confidențialitate (NDA)

Puncte de verificare în crearea unui contract de confidențialitate (NDA)

General Corporate

Puncte de atenție la vânzarea de alimente în magazinul online - Explicarea Legii igienei alimentare japoneze

Puncte de atenție la vânzarea de alimente în magazinul online - Explicarea Legii igienei aliment.

General Corporate

Este recunoscut dreptul de autor pentru o idee? Linia de demarcație între exprimare și idee

Este recunoscut dreptul de autor pentru o idee? Linia de demarcație între exprimare și idee

General Corporate

Aspecte esențiale de luat în considerare de către companiile japoneze atunci când iau în calcul expansiunea internațională - o analiză detaliată

Aspecte esențiale de luat în considerare de către companiile japoneze atunci când iau în calcul .

General Corporate

Poate fi interzisă schimbarea locului de muncă către o companie concurentă prin obligația de a evita concurența în contractul de muncă?

Poate fi interzisă schimbarea locului de muncă către o companie concurentă prin obligația de a e.

General Corporate

Extinderea domeniului de utilizare a dronelor cu zbor de nivel 4: Explicarea a două sisteme, certificarea aeronavei și demonstrarea competenței

Extinderea domeniului de utilizare a dronelor cu zbor de nivel 4: Explicarea a două sisteme, cer.

General Corporate

Camerele de supraveghere încalcă dreptul la intimitate? Explicăm ghidurile și cazurile juridice

Camerele de supraveghere încalcă dreptul la intimitate? Explicăm ghidurile și cazurile juridice

General Corporate

Emiterea de acțiuni preferențiale în contractele de investiții ale startup-urilor și conținutul acestora

Emiterea de acțiuni preferențiale în contractele de investiții ale startup-urilor și conținutul .

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

?napoi la ?nceput